- •Вимоги до захисту інформації web – сторінки від несанкціонованого доступу
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Визначення
- •4 Позначення та скорочення
- •5 Загальні вимоги
- •6 Характеристика типових умов функціонування та вимоги до захисту інформації web-сторінки
- •6.1 Інформація web-сторінки та технологія її оброблення
- •6.1.1 Характеристика
- •6.1.2 Вимоги
- •6.2 Обчислювальна система
- •6.2.1 Характеристика
- •6.2.2 Вимоги
- •6.3 Середовище користувачів
- •6.3.1 Характеристика
- •6.3.2 Вимоги
- •6.4 Фізичне середовище
- •6.4.1 Характеристика
- •6.4.2 Вимоги
- •7 Політика реалізації послуг безпеки інформації web-сторінки
- •7.1 Склад та вимоги до профілів захищеності інформації
- •7.2 Вимоги до реалізації функціональних послуг безпеки інформації
- •7.2.1 Базова адміністративна конфіденційність
- •7.2.2 Конфіденційність при обміні
- •7.2.3 Мінімальна адміністративна цілісність
- •7.2.5 Відкат
- •7.2.6 Використання ресурсів
- •7.2.7 Відновлення після збоїв
- •7.2.8 Реєстрація
- •7.2.9 Ідентифікація і автентифікація
- •7.2.10 Ідентифікація і автентифікація при обміні
- •7.2.11 Достовірний канал
- •7.2.12 Розподіл обов’язків
- •7.2.13 Цілісність комплексу засобів захисту
- •7.2.14 Самотестування
- •7.3 Вимоги до реалізації критеріїв гарантій
- •7.3.1 Архітектура
- •7.3.2 Середовище розробки
- •7.3.3 Послідовність розробки
- •7.3.4 Середовище функціонування
- •7.3.5 Документація
- •7.3.6 Випробування
7.3.1 Архітектура
Програмне забезпечення, призначене для реалізації КЗЗ, повинне, як правило, будуватися за модульним принципом.
Склад послуг безпеки, а також механізмів захисту, що реалізують кожну з послуг, визначається політикою безпеки інформації в АС і повинен відповідати її вимогам. Якщо не всі вимоги політики безпеки реалізуються КЗЗ, то вони повинні підтримуватися організаційними та іншими заходами захисту КСЗІ. У складі КЗЗ не повинні міститися послуги та використовуватися засоби, які мають не передбачені політикою безпеки функції. Використання таких засобів можливе за умови вилучення цих функцій або гарантування неможливості їх активізації.
Мають бути описані особливості архітектури компонентів КСЗІ та їх призначення. Стиль опису – неформалізований, вимоги щодо детального опису не висуваються.
7.3.2 Середовище розробки
Мають бути визначені всі стадії та етапи життєвого циклу АС, а для кожної стадії та етапу – перелік і обсяги необхідних робіт та порядок їх виконання. Всі стадії та етапи робіт повинні бути задокументовані. Види та зміст документів встановлено державними стандартами.
На всіх стадіях життєвого циклу повинні існувати процедури керування конфігурацією АС. Ці процедури повинні визначати технологію відслідковування та внесення змін в апаратне та програмне забезпечення КСЗІ, тестове покриття і документацію та гарантувати, що без дотримання цієї технології ніякі зміни не можуть бути внесені. Технологія відслідковування та внесення змін повинна гарантувати постійну відповідність між документацією і реалізацією поточної версії КЗЗ.
7.3.3 Послідовність розробки
Для всіх стадій життєвого циклу АС повинні бути розроблені функціональні специфікації КСЗІ.
На підготовчому етапі створення КСЗІ має бути виконане обстеження середовищ функціонування АС, в результаті якого визначаються об’єкти захисту, здійснюється класифікація інформації та розробляється модель загроз для інформації і концепція політики безпеки інформації в АС. На підставі цих даних мають бути сформульовані функціональні специфікації вимог із захисту інформації в АС. Ці специфікації мають бути викладені в окремому розділі в технічному завданні на створення АС або окремому технічному завданні на створення КСЗІ.
Функціональні специфікації політики безпеки і моделі політики безпеки повинні містити перелік і опис послуг безпеки, що надаються КЗЗ, а також правила розмежування доступу до захищених об’єктів АС.
Функціональні специфікації проекту архітектури КСЗІ повинні містити модель захисту (ескізний проект), де враховані всі суттєві загрози і для кожної з них визначено можливі варіанти їх блокування (попередження) за допомогою КЗЗ або організаційними чи іншими заходами захисту. Якщо існує неоднозначність, повинні надаватися додаткові аргументи на користь вибору того чи іншого варіанту.
Функціональні специфікації детального проекту КСЗІ повинні містити принципи побудови, функціональні можливості, опис функціонування кожного механізму захисту та взаємодії механізмів між собою у складі КЗЗ. Повинні бути розроблені документи, що регламентують використання засобів КЗЗ, а також організаційних та інших заходів захисту, які входять до КСЗІ. Як реалізація детального проекту може розглядатися технічний, робочий або техноробочий проекти.
Функціональні специфікації всіх рівнів надаються в описовому (неформалізованому) вигляді.
Має бути підтверджена (показана) відповідність специфікацій КСЗІ всіх рівнів. Формальних доказів відповідності не вимагається. Таким підтвердженням може бути дотримання власником АС і суб’єктами господарювання, які беруть участь у створенні АС і КСЗІ, встановленого нормативними документами із захисту інформації порядку. Наприклад, підтвердженням відповідності між специфікаціями КСЗІ різних рівнів деталізації може бути узгодження в установленому порядку відповідних документів (моделі загроз, технічного завдання, технічного проекту тощо), висновок приймальної комісії щодо цього під час випробувань КСЗІ або окремих її компонентів, результати контролю за виконаними роботами на етапах створення АС з боку системи якості виробництвом, якщо у власника та розробників АС така система впроваджена та ін.
Окремі етапи робіт повинні бути задокументовані відповідно до вимог НД ТЗІ 1.4-001 у вигляді окремих розділів плану захисту інформації в АС або вимог інших нормативно-правових актів і нормативних документів з ТЗІ.